Prilikom upotrebe programskog paketa Postfix Admin uočeno je više sigurnosnih propusta. Radi se o web sučelju koje se koristi za upravljanje sandučićima elektroničke pošte i virtualnim domenama. Svi uočeni propusti posljedica su neispravne provjere ulaznih podataka predanih raznim datotekama. Neke od spomenutih datoteka su: templates/menu.php, templates/edit-vacation.php, create-domain.php, create-alias.php, edit-alias.php i dr. Napadači ranjivosti mogu iskoristiti za XSS napad te za umetanje proizvoljnog SQL koda. Svim se korisnicima savjetuje nadogradnja.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-01-007
Naslov: Otklonjeno vise ranjivosti paketa Postfix Admin
Datum: 2012-01-31
OS: Windows, Linux/UNIX
Programski paket: Postfix Admin
Tip sigurnosnog problema: umetanje proizvoljnog SQL koda, XSS napad
Rizik: Srednji
_______________________________________________________________________________

[1]  Uvod

U radu programskog paketa Postfix Admin uoceni su visestruki sigurnosni problemi. 

Postfix Admin je web sucelje koje se koristi za upravljanje sanducicima elektronicke 
poste, virtualnim domenama i aliasima. Takodjer, ima podrsku i za 
obavjestavanje o odmoru, odnosno o tome da vlasnik elektronicke poste nije u uredu. 
Zahtjeva skriptni programski jezik PHP, otvoreni kod Postfix te baze podataka MySQL 
ili PostgreSQL. 

Vise informacija dostupno je na sljedecoj web adresi:

http://postfixadmin.sourceforge.net/.

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Visestruke sigurnosne ranjivosti, uocene u radu programskog paketa Postfix Admin, 
napadacima omogucuju izvodjenje SQL i XSS (eng. cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca pnadogradnja na inacicu 2.3.5.

-------------------------------------------------------------------------------

[4]  Analiza

* Prva od spomenutih ranjivosti posljedica je neispravne provjere ulaznih podataka 
prije vracanja korisniku. Radi se o podacima predanim preko parametra "domain" 
datoteci edit-vacation.php. To se moze iskoristiti za pokretanje proizvoljnog HTML i skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane web stranice.

* Druga nepravilnost posljedica je neispravne provjere ulaznih podataka u datotekama create-domain.php, create-alias.php i edit-alias.php prije vracanja korisniku. Napadaci ranjivost mogu iskoristiti za XSS napad. 

* Sljedeci propust posljedica je neispravne provjere ulaznih podataka predanih putem "Description", "Name" i "Server" parametara datotekama edit-domain.php, create-mailbox.php, edit-mailbox.php i fetchmail.php. To se moze iskoristiti za umetanje proizvoljnog HTML ili skriptnog koda.

* Cetvrta ranjivost se javlja kao posljedica neispravne provjere ulaznih podataka predanih 
putem funkcije "pacrypt()" datoteci functions.inc.php prije koristenja u SQL upitima. To se 
moze iskoristiti za manipulaciju SQL upitima i umetanje proizvoljnog SQL koda.

* Posljednji nedostatak nastaje zbog neispravne provjere ulaznih podataka u datoteci 
backup.php prije koristenja u SQL upitima. Napadaci to mogu iskoristiti za manipulaciju 
SQL upitima umecuci proizvoljni SQL kod koji se izvrasava kada se baza podataka restarta.

Ranjivosti su potvrdjene u inacici 2.3.4, no i starije inacice mogu sadrzavati istu ranjivost.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrio je:

proizvodjac.

Tekst izvorne preporuke nalazi se na sljedecim adresama:

http://www.openwall.com/lists/oss-security/2012/01/26/5

http://postfixadmin.svn.sourceforge.net/svnroot/postfixadmin/branches/postfixadmin-2.3/CHANGELOG.TXT

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________